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Bereitstellung von Erkenntnissen aus dem Hack der Bundesregierung für 
Wirtschaft und Bevölkerung 


Vorbemerkung der Fragesteller 

Der am 28. Februar 2018 bekanntgewordenen Angriff auf das als sicher gel¬ 
tende Infonnationsnetzwerk der Bundesregierung, der Informationsverbund 
Berlin-Bonn (IVBB), hat erneut den Stellenwert aufgezeigt, den IT-Sicherheit 
in unserem digitalen Zeitalter einnimmt. Sichere IT-Infrastrukturen sind der 
Grundpfeiler für eine erfolgreiche Digitalisierung unserer Wirtschaft und Ge¬ 
sellschaft. 

Um ein hohes Maß an IT-Sicherheit für alle zu gewährleisten, müssen insbeson¬ 
dere Wirtschaft und Staat eng Zusammenarbeiten: Einerseits ist die Wirtschaft 
auf sinnvolle staatliche Regelungen und Standards zur IT-Sicherheit angewie¬ 
sen, andererseits muss sich der Staat auf Anstrengungen der Wirtschaft verlas¬ 
sen können, beispielsweise durch Schaffung von Software zur Absicherung von 
infonnationstechnischen Systemen. Hierbei spielt der Austausch über existie¬ 
rende Sicherheitslücken eine bedeutende Rolle: So existieren zwischen den gro¬ 
ßen Unternehmen bereits verschiedene Fonnate, die einen vertraulichen Aus¬ 
tausch von Informationen über Cybersicherheitszwischenfälle ennöglichen. In 
diesem Rahmen ist es nach einem Cybersicherheitszwischenfall innerhalb der 
Wirtschaft Usus, sich gegenseitig zu informieren, damit Software zur Detektion 
von Angriffen wie z. B. Firewalls um neue Erkenntnisse, die aus einem solchen 
Angriff gewonnen wurden, ergänzt werden können. Dies stärkt die IT-Sicher- 
heit aller Beteiligten und erschwert es Angreifern, die gleiche oder eine ähnliche 
Sicherheitslücke für einen erneuten Angriff zu nutzen, da diese nicht nur im 
angegriffenen Netzwerk behoben werden kann, sondern auch in allen anderen, 
bisher nicht angegriffenen Systemen. 

Die ausgenutzten Sicherheits lücken und Vorgehensweisen der Angreifer auf die 
Netze der Bundesregierung fallen unter diese Maßgabe. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, fiir Bau und Heimat 
vom 5. Juni 2018 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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Vorbemerkung der Bundesregierung 

Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beant¬ 
wortung gestellter Fragen in der Öffentlichkeit angelegt. Die Bundesregierung ist 
allerdings nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Be¬ 
antwortung der Fragen 3,7, 8, 9 und 3b nicht vollständig in offener Form erfolgen 
kann. 

Die erbetenen Auskünfte zu den Fragen 3, 8 und 9 sind geheimhaltungsbedürftig, 
weil die Kenntnisnahme der Antworten durch Unbefugte die Sicherheit der Bun¬ 
desrepublik Deutschland gefährden und ihren Interessen schweren Schaden zufü¬ 
gen kann. Die Antworten enthalten Informationen zu Details operativer Maßnah¬ 
men und erlauben potentiellen Angreifern Rückschlüsse auf die Fähigkeiten und 
das Vorgehen deutscher Behörden. Hierzu zählen Einzelheiten zu der Erkennt¬ 
nislage der Behörden über das Vorgehen und die Fähigkeiten des Angreifers so¬ 
wie zur Wirksamkeit seines Angriffs. Die Veröffentlichung dieser Erkenntnisse 
ließe Rückschlüsse auf die Aufklärungsschwerpunkte zu und würde die zukünf¬ 
tige Aufgabenerfüllung der beteiligten Behörden und damit die Gewährleistung 
der IT-Sicherheit gefährden. Diese würde zukünftige Angriffe erleichtern. 

Der Schutz vor allem der technischen Fähigkeiten der Bundesbehörden stellt für 
die Aufgabenerfüllung der Bundesbehörden einen überragend wichtigen Grund¬ 
satz dar. Er dient der Aufrechterhaltung der Effektivität - insbesondere nachrich¬ 
tendienstlicher - Informationsbeschaffung durch den Einsatz spezifischer Fähig¬ 
keiten und damit dem Staatswohl. Auch sind Erkenntnisse über Analysefähigkei¬ 
ten von Sicherheitsvorfällen und Maßnahmen zur Sicherung von IT-Systemen 
betroffen. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten 
würde zu einer wesentlichen Schwächung der den Behörden zur Absicherung der 
IT-Systeme und zur Reaktion auf Angriffe zur Verfügung stehenden Möglichkei¬ 
ten führen. Dies würde für ihre Auftragserfüllung erhebliche Nachteile zur Folge 
haben und für die Interessen der Bundesrepublik Deutschland schädlich sein. Die 
Schutzmaßnahmen dienen der Auffechterhaltung der Sicherheit und Funktions¬ 
fähigkeit des IVBBs und hierdurch der Funktionsfähigkeit der Bundesregierung 
und damit dem Staatswohl. 

Daher sind die Antworten zu den genannten Fragen 3, 8 und 9 als Verschlusssa¬ 
che nach § 4 Absatz 2 des Sicherheitsüberprüfungsgesetzes in Verbindung mit 
der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum 
materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung 
- VSA) mit dem Geheimhaltungsgrad „VS - Geheim“ eingestuft und können bei 
der Geheimschutzstelle des Deutschen Bundestages eingesehen werden. 1 

Die Auskünfte zu den Fragen 7 und 13b sind geheimhaltungsbedürftig, weil die 
Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutsch¬ 
land nachteilig sein kann. Details zu den IT-Systemen der Bundesregierung sind 
schützenswerte Informationen, deren Bekanntwerden die Cybersicherheit dieser 
Systeme in ihrer Wirkung und hierdurch die Funktionsfähigkeit der Bundesregie¬ 
rung schwächen würde. Daher sind die Antworten zu den genannten Fragen als 
Verschlusssache nach § 4 Absatz 2 des Sicherheitsüberprüfungsgesetzes in Ver¬ 
bindung mit der VSA mit dem Geheimhaltungsgrad „VS - Nur für den Dienstge¬ 
brauch“ eingestuft. 2 


1 Das Bundesministerium des Innern, für Bau und Heimat hat die Antwort als „VS - Geheim“ eingestuft. Die Antwort ist in der Geheim¬ 
schutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der Geheimschutzordnung eingesehen werden. 

2 Das Bundesministerium des Innern, für Bau und Heimat hat die Antwort als „VS - Nur für den Dienstgebrauch“ eingestuft. Die Antwort 
ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. 
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1. Kann die Bundesregierung die Pressemitteilung der „dpa“ vom 28. Februar 
2018 bestätigen, dass bei dem Flacker-Angriff auf den IVBB „im Internet 
verfügbare Software“ genutzt wurde? 

Wenn ja, wann bekamen die betroffenen Behörde Kenntnis über die Flashes 
oder andere automatisch detektierbaren Kennzeichen dieser Malware? 

2. Wenn es eine im Internet verfügbare Software (dpa) war, warum wurde diese 
dann nicht detektiert? 

Die Fragen 1 und 2 werden gemeinsam beantwortet. 

In der Meldung der dpa vom 28. Februar 2018 von 17:07 Uhr sind Informationen 
zu einer anderen Angriffskampagne bzw. einem anderen Sachverhalt enthalten, 
die von dem am 28. Februar 2018 öffentlich bekanntgewordenen Angriff auf das 
Auswärtige Amt zu unterschieden sind. 

Es wurde bereits mitgeteilt, dass bei dem am 28. Februar 2018 öffentlich bekannt 
gewordenen Angriff auf das Auswärtige Amt diverse Werkzeuge genutzt wurden, 
die größtenteils speziell für diesen Angriff angefertigt worden sein dürften 
(Antwort der Bundesregierung zu Frage 5b der Kleinen Anfrage der Fraktion 
DIE LINKE, auf Bundestagsdrucksache 19/1867 sowie die Antwort auf die 
Schriftliche Frage 24 des Abgeordneten Andrei Hunko auf Bundestagsdrucksa¬ 
che 19/1979). 

Die beim Angriff auf das Auswärtige Amt verwendeten Schadprogramme waren 
nach Kenntnis des Bundesamts für Sicherheit in der Informationstechnik (BSI) 
nicht öffentlich verfügbar. 

Zusätzlich zur Schadsoftware wurden von den Angreifern teilweise auch öffent¬ 
lich verfügbare, legitime Administrationswerkzeuge genutzt, die für sich genom¬ 
men nicht zur Detektion herangezogen werden können. Entsprechend wurden 
durch das BSI im Laufe der Analyse eigene Detektionsansätze entwickelt. 

Abschließend ist klarzustellen, dass es sich bei Schadsoftware in der Regel nicht 
um statische oder singuläre Konstrukte handelt. Man spricht deshalb von Schad- 
software-Familien, von denen es jeweils eine hohe Anzahl von Ausprägungen 
(Varianten) gibt. In der Regel variieren die Täter neue Ausprägungen solange, bis 
sie eine Detektion unterlaufen. Auch wenn eine oder mehrere Ausprägungen ei¬ 
ner Schadsoftware-Familie im Internet verfügbar sind, bedeutet dies also nicht, 
dass alle zukünftigen Ausprägungen erkannt werden könnten. 


3. Mit welchen Behörden und zu welchem Zeitpunkt wurden die Infonnationen 
über die IOCs (Indicators of Compromise) geteilt? 

Wurde das Cyberabwehrzentrum über die IOCs informiert? 

Zu welchem Zeitpunkt wurde das Bundesamt für Sicherheit in der Informa¬ 
tionstechnik (BSI) und das Cyberabwehrzentrum über die IOCs informiert? 

Es gibt bei einem IT-Sicherheitsvorfall in der Regel kein statisches Set an IoCs, 
das während der gesamten Analyse identisch bleibt. Vielmehr werden IoCs zum 
einen während der Analysephase nach und nach erarbeitet. Zum anderen umfas¬ 
sen IoCs auch Vorgehensweisen der Täter, die sich während der Analysephase 
ändern. Somit handelt es sich um eine dynamische Menge von IoCs, die zu un¬ 
terschiedlichen Zeitpunkten relevant sein können (siehe auch Antwort zu den Fra¬ 
gen 7, 9 und 11). 

Wegen der weiteren Inhalte der Antwort auf diese Frage wird auf die gemäß der Vor¬ 
bemerkung der Bundesregierung als „VS - Geheim“ eingestuften Teile verwiesen. 
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4. Ist das BSI der Meinung, dass die genutzten Methoden der Angreifer außer¬ 
halb der Netze der Bundesregierung auch zur Wirtschaftsspionage oder zur 
Schädigung einzelner Unternehmen oder Untemehmensnetzwerke genutzt 
werden könnten? 

Nach der Bewertung der Bundesregierung lag dem Cyberangriff auf das Auswär¬ 
tige Amt eine maßgeschneiderte und aufwändige Vorgehensweise zu Grunde. 
Grundsätzlich können sich vergleichbar aufwendige Angriffe auch gegen Ziele in 
der Wirtschaft richten, wobei die Vorgehensweise technisch im Detail - je nach 
IT-Infrastruktur des Opfers — nicht immer identisch sein kann. 


5. Zu welchem Zeitpunkt beabsichtigt die Bundesregierung, die IOCs mit der 
Öffentlichkeit zu teilen, damit auch die deutsche Wirtschaft die ausgenutzten 
Sicherheitslücken beheben kann? 

Sicherheitslücken können nicht durch IOCs behoben werden. Im Kontext des hier 
angesprochenen Sachverhalts liegen dem BSI derzeit keine IOCs vor, die zum 
Schutz der deutschen Wirtschaft geeignet erscheinen. 


6. Wann hat das BSI eine öffentliche Lageeinschätzung publiziert? 

Wenn bisher nicht erfolgt, wann beabsichtigt das BSI das zu tun? 

Auf der Intemetseite des BSI (bsi.bund.de) werden allgemein und auch anlassbe¬ 
zogen Informationen zur IT-Sicherheit für verschiedene Zielgruppen veröffent¬ 
licht (Bürger, Wirtschaft, Wissenschaft, Verwaltung). Daneben publiziert das BSI 
regelmäßig einen Jahresbericht zur Lage der IT-Sicherheit in Deutschland. Der 
aktuelle Jahresbericht ist abrufbar unter: www.bsi.bund.de/DE/Publikationeny 
Lageberichte/lageberichtenode.html. 


7. Welche Maßnahmen empfiehlt das BSI den deutschen Behörden und der 
deutschen Wirtschaft, um sich vor zukünftigen Angriffen, die dem am 
28. Februar 2018 bekannt gewordenen technisch ähneln, zu schützen? 

Grundsätzliches Leitbild aller Maßnahmen ist, dass die potentielle Kompromit- 
tierung eines einzelnen Clients nicht zur Kompromittierung des gesamten Netz¬ 
werkes oder der gesamten Organisation führen darf. Geeignete Maßnahmen wer¬ 
den deutschen Behörden und der deutschen Wirtschaft regelmäßig durch das BSI 
empfohlen. 

Wegen der Inhalte der Antwort auf diese Frage wird auf die gemäß der Vorbe¬ 
merkung der Bundesregierung als „VS - Nur für den Dienstgebrauch“ eingestuf¬ 
ten Teile verwiesen. 


8. Welche Erkenntnisse gibt es darüber, ob die Kommunikation zwischen dem 
Auswärtigen Amt und den deutschen Botschaften im Ausland von dem An¬ 
griffbetroffen ist? 

Existieren Hinweise darauf, dass die informationstechnischen Systeme der 
deutschen Botschaften im Ausland ebenfalls kompromittiert sind? 

Wegen der Inhalte der Antwort auf diese Frage wird auf die gemäß der Vorbe¬ 
merkung der Bundesregierung als „VS - Geheim“ eingestuften Teile verwiesen. 
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9. In welcher Weise hat das Nationale Cyber-Abwehrzentrum auf die Angriffe 
reagiert? 

Welche Dienstleistungen und Hilfestellungen kamen von dort? 

Zu welchem Zeitpunkt wurde das Cyber-Abwehrzentrum hinzugezogen? 

Nach Eingang des Hinweises wurde im Cyber-Abwehrzentrum unter Beteiligung 
des BSI, Bundesamtes für Verfassungsschutz (BfV), Bundesnachrichtendienstes 
(BND) und des Militärischen Abschirmdienstes (MAD) eine Arbeitsgruppe ein¬ 
gerichtet, in der seitdem die Bearbeitung des Sachverhaltes koordiniert wird 
(siehe hierzu auch die Antwort zu Frage 11). 

Wegen der weiteren Inhalte der Antwort auf diese Frage wird auf die gemäß der 
Vorbemerkung der Bundesregierung als „VS - Geheim“ eingestuften Teile ver¬ 
wiesen. 


10. Wann wäre der vorgesehene Zeitpunkt gewesen, um grundlegende Informa¬ 
tionen an die Abgeordneten des Deutschen Bundestages weiterzugeben? 

Aufgmnd der Presseberichte ab dem Nachmittag des 28. Februar 2018 mussten 
die Pläne zum Aussperren des Angreifers vorzeitig umgesetzt werden. Ursprüng¬ 
lich war beabsichtigt, weitere Erkenntnisse über den Angreifer und dessen Me¬ 
thoden nur noch für überschaubare Zeit zu sammeln, um die nachhaltige Bereini¬ 
gung der betroffenen IT-Systeme bestmöglich abzusichern. Hieran hätte sich 
auch eine Information der zuständigen parlamentarischen Gremien anschließen 
sollen. Vor den Veröffentlichungen vom 28. Februar 2018 wurde angenommen, 
dass dieser Zeitpunkt in etwa bei Mitte März 2018 liegen würde. 


11. Wie sieht der Notfallkommunikationsplan für Cyberzwischenfälle dieser 
oder ähnlicher Art aus? 

Im Nationalen Cyber-Abwehrzentrum sowie im Nationalen IT-Lagezentrum 
existieren etablierte Prozesse für Meldungen von Cyber-Angriffen. Nach Einge¬ 
hen der Meldung werden die zuständigen Behörden eingebunden und bei entspre¬ 
chender Dringlichkeit unverzüglich eine initiale Beratungssitzung durchgeführt, 
bei der das weitere Vorgehen abgestimmt wird. Im weiteren Verlauf wird die 
Kommunikation der Behörden über das Nationale Cyber-Abwehrzentram sicher¬ 
gestellt und dort im Rahmen der Koordinierten Fallbearbeitung wöchentlich bis 
hin zu mehrfach täglich die gemeinsame Sachverhaltsbewältigung der beteiligten 
Stellen sichergestellt. Sofern nötig, werden unverzüglich geeignete Maßnahmen 
eingeleitet und bedarfsweise auch Vor-Ort-Kräfte der zuständigen Behörden ent¬ 
sandt. Soweit möglich, werden durch das BSI zeitnah geeignete Warnungen und 
Empfehlungen an Betroffene und potentielle künftige Opfer kommuniziert und 
Unterstützungsleistungen angeboten (siehe auch die Antwort zu Frage 14). 


12. War die Zentrale Stelle für Informationstechnik im Sicherheitsbereich 
(ZITIS) in die forensische Untersuchung des Angriffs involviert? 

Wenn ja, in welcher Weise? 

Wenn nicht, warum nicht? 

Die ZITiS hat die Aufgabe, verschiedene Behörden im Hinblick auf informati¬ 
onstechnische Fähigkeiten zu unterstützen und zu beraten. Die ZITiS hat keine 
operativen Befügnisse und nimmt daher keine operativen Aufgaben wahr. Die 
forensische Untersuchung des Angriffs wurde aus diesem Grand nicht von ZITiS 
übernommen. 
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13. Hat die Bundesregierung bzw. haben die Sicherheitsbehörden Lehren aus 
den bekannt gewordenen Hackerangriffen auf das Bundestagsnetzwerk von 
2013 und 2015 für digitale Verteidigungsstrategien der Behördennetze ge¬ 
zogen? 

Insbesondere die Folgenden: 

Die Bundesregierung und die zuständigen Behörden arbeiten fortwährend daran, 
die Informationssicherheit insgesamt zu verbessern. 


a) Werden regelmäßige Penetrationstests durchgeführt? 

In welcher Frequenz? 

Das BSI führt laufend Penetrationstests bei einer Vielzahl von Bedarfsträgern 
durch. Es obliegt dabei den jeweiligen Bedarfsträgern, die entsprechenden Ange¬ 
bote wahrzunehmen. Eine sinnvolle Frequenz der Penetrationstests kann nur auf 
Basis einer Einzelfallbewertung empfohlen werden. 


b) Wann war der letzte Pentest der nun betroffenen Systeme? 

Die betroffenen Systeme im Auswärtigen Amt unterliegen im Rahmen der Nach¬ 
sorgemaßnahmen fortlaufenden Pentests. Wegen der weiteren Inhalte der Ant¬ 
wort auf diese Frage wird auf die gemäß der Vorbemerkung der Bundesregierung 
als „VS - Nur für den Dienstgebrauch“ eingestuften Teile verwiesen. 


c) In welcher Frequenz werden Firewall-Systeme aktualisiert mit aktuellen 
IOCs (Indicators of Compromise)? 

Die zentralen Schutzsysteme des IVBB werden mehrmals täglich und bedarfs¬ 
weise sofort mit aktuellen Indikatoren versorgt. 


d) Wird der behördeninteme Netzwerkverkehr mittels DPI (Deep Packet 
Inspection) fortdauernd überwacht nach Indikatoren für Schadsoftware? 

Für die Kommunikation zwischen IVBB und Internet macht das BSI zur Abwehr 
von Gefahren für die Kommunikationstechnik des Bundes von den in § 5 des Ge¬ 
setzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vor¬ 
gesehenen Möglichkeiten Gebrauch und unterrichtet hierzu kalenderjährlich die 
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und den In¬ 
nenausschuss des Deutschen Bundestages. Die Überwachung des Netzwerkver¬ 
kehrs innerhalb der einzelnen Behörden obliegt den jeweiligen Behörden. Gemäß 
§ 5a BSIG kann bei einer Beeinträchtigung der Sicherheit oder Funktionsfahig- 
keit eines informationstechnischen Systems in herausgehobenen Fällen auch eine 
sogenannte Deep Packet Inspection durch das BSI erfolgen, soweit dies zur Wie¬ 
derherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informati¬ 
onstechnischen Systems erforderlich und angemessen ist. 
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14. Welcher Prozess existiert, um Kenntnisse über identifizierte IOCs, insbeson¬ 
dere solche aus den Fragen 3, 13c und 13d, an die Bevölkerung und die deut¬ 
sche Wirtschaft weiterzugeben, sodass diese in die Lage versetzt werden, 
mithilfe dieser Erkenntnisse die eigenen Netzwerke gegen ähnliche Angriffe 
abzusichem? 

Das BSI kommuniziert soweit möglich stets zeitnah über Cyber-Sicherheitswar¬ 
nungen zielgruppengerecht an Bundesbehörden, Landesbehörden, Betreiber Kri¬ 
tischer Infrastrukturen und Mitglieder der Allianz für Cyber-Sicherheit. Zusätz¬ 
lich sensibilisiert das BSI für die Umsetzung von Standard-Sicherheitsmaßnah¬ 
men, die für den Großteil der Angriffe auf viele Zielgruppen bereits sehr effektiv 
sind. Dies erfolgt u. a. über Portale wie das Bürger-CERT oder BSI-für-Bürger 
(www.bsi-fuer-buerger.de/BSIFB/DE/Home/home node.html). 

Auch das BfV benennt zur Erhöhung der Cybersicherheit und in Ergänzung zu 
den Expertisen von IT-Dienstleistungsunternehmen, die vor allem auf eine 
schnelle Behebung von akuten IT-Sicherheitsvorfallen fokussiert sind, aus sei¬ 
nem Erkenntnisaufkommen stammende Hinweise auf bestimmte IT-Infrastruktu- 
ren, die für Angriffe genutzt werden (IOCs). Das BfV hat dazu mit dem „Cyber- 
Brief ‘ ein Format etabliert, mit dem regelmäßig gezielte Warnmeldungen und 
Berichte an Behörden und Wirtschaft weitergegeben werden. 

Mit diesen Informationen werden gefährdete Stellen in die Lage versetzt, eine 
eigene Betroffenheit festzustellen, potentielle Zugriffe von diesen Infrastrukturen 
auf ihr IT-Netzwerk im Vorfeld zu sperren und dadurch den Schutz gegen Cy¬ 
berangriffe zu erhöhen. 
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